Вам пришло MMS! Вскрываем малварь Asacub, которая ворует деньги у пользователей Android - «Новости»

Содержание статьи

• Статический анализ. Декомпилируем вирус
• Командный центр

Как показывает статистика, в России на сегодняшний день 70% мобильных устройств работают на Android. Среди наиболее распространенных вариантов атак на них: блокировка устройства с требованием выкупа, кибершпионаж и кража денег с банковских карт и счетов. Поскольку у каждого уважающего себя банка есть мобильное приложение для Android, неудивительно, что их пользователи становятся мишенями для злоумышленников.

Заражение

Итак, одним холодным осенним вечером ко мне на телефон поступает сообщение: «Вам пришло уведомление mms: fotowy.me/84rt от Оксана». Совершенно очевидно, что это вирус, потому что с Оксаной я давно не общаюсь. Конечно же, многим известно, что любые ссылки в сообщениях — это зло. Мне стало интересно, кто решил взломать мой BlackBerry и кто вообще сегодня на это ведется.

После перехода по ссылке открывается страница с предложением посмотреть фотографию той самой Оксаны.

Некогда размышлять — нажимаем! Сразу же начинается скачивание файла photo_34778_img.apk. Как нас просят на сайте, разрешаем установку с неизвестных источников и устанавливаем apk. Вот как выглядит приложение «СМС-фото». В том, что фотография вдруг оказалась приложением, конечно, нет ничего странного.

Но мы все еще не увидели фотографию Оксаны! Нам ведь очень хочется ее посмотреть, поэтому запускаем «СМС-фото», и наконец-то Оксана предстает перед нами во всей красе! Или нет. Никакой фотографии так и не вышло, приложение исчезло из списка, в уведомлениях появилось «Системное приложение».

Через несколько секунд появляется окно «Системная неполадка». Звучит страшно.

Нажимаем «Перейти к настройкам». И соглашаемся «Use Системное приложение».

Установленное приложение банка сразу замечает что-то неладное (в отличие от нас).

Пытаемся запустить его, но оно тут же закрывается.

Оказывается, это никакая не фотография, а банковский троян Asacub! Антивирусы говорят то же самое.

Проверка на VirusTotal

Некоторые принципы работы Asacub уже были рассмотрены в исследовании «Лаборатории Касперского». Увы, множество людей не в курсе элементарной безопасности Android. Asacub заражает в день более 40 тысяч смартфонов.

Вот наиболее распространенные сообщения для заражения:

• «Юзернейм, посмотри фотографию по ссылке»;


• «Юзернейм, тебе пришло MMS-сообщение от Васи»;


• «Юзернейм, интересует обмен Авито?»;


• «Юзернейм, и тебе не стыдно после этого?!».

А теперь без шуток попробуем посмотреть подробнее, что за зверь Asacub.

Статический анализ. Декомпилируем вирус

Инструменты: Android Studio, JaDX

Статический анализ включает в себя декомпиляцию приложений и просмотр исходного кода для дальнейшего анализа действий вируса. Сначала воспользуемся JaDX для декомпиляции apk. Часто исходники могут быть кривыми, но для анализа этого достаточно. Скачиваем и устанавливаем.

$ ls -l
$ git clone https://github.com/skylot/jadx.git
$ cd jadx
$ ./gradlew dist
[/code]

Запускаем графический JaDX.

$ ls -l
$ cd build/jadx/
$ bin/jadx-gui lib/jadx-core-*.jar
[/code]

Выбираем File -> Open -> photoimg.apk. Видим исходники.

Но удобнее работать с ними в Android Studio. Сохраняем как проект и импортируем в Android Studio. Пробежимся по AndroidManifest.xml. Смотрим права приложения.